1.第1章 网络安全概念

1、SOHOServerIntranet移动宽带上网4.4.传输层传输层 2. 2.数据链路层数据链路层3.3.网络层网络层1.1.物理层物理层5.5.会话层会话层 6. 6.表示层表示层面向用户应用面向数据传输 7. 7.应用应用层层应用层用户L7L7数据数据到表示层FTP应用层用户L7L7数据数据到表示层FTPL7L7数据数据数据的编码、数据的编码、加密和压缩加密和压缩表示层表示层从应用层从应用层H6H6L6L6数据数据到会话层到会话层L7L7数据数据数据的解码、数据的解码、解密和解压解密和解压表示层表示层到应用层到应用层H6H6L6L6数据数据从会话层从会话层L6数据数据会话层会话层从表示层

2、从表示层synL5数据数据到传输层到传输层synsyn H5L6数据数据会话层会话层到表示层到表示层synL5数据数据从传输层从传输层synsyn H5L5L5数据数据传输层传输层从会话层从会话层H4H4L4L4数据数据到网络层到网络层H4H4H4H4L4L4数据数据L4L4数据数据L5L5数据数据传输层传输层到会话层到会话层H4H4L4L4数据数据从网络层从网络层H4H4H4H4L4L4数据数据L4L4数据数据L4L4数据数据网络层网络层从传输层从传输层H3H3包包L3L3数据数据到数据链路层到数据链路层L4L4数据数据网络层网络层到传输层到传输层H3H3包包L3L3数据数据从数据链路层从数

3、据链路层L3L3数据数据数据链路层数据链路层从网络层从网络层H2H2T2T2帧帧L2L2数据数据到物理层到物理层L3L3数据数据数据链路层数据链路层到网络层到网络层H2H2T2T2帧帧L2L2数据数据从物理层从物理层L2L2数据数据01010100001111000101010000111100传输媒体传输媒体物理层物理层从数据链路层从数据链路层L2L2数据数据01010100001111000101010000111100到数据链路层到数据链路层物理层物理层5.5.会话层会话层 6. 6.表示层表示层 7. 7.应用层应用层4.4.传输层传输层2.2.数据链路层数据链路层1.1.物理层物理层

4、4.4.传输层传输层2.2.数据链路层数据链路层3.3.网络层网络层1.1.物理层物理层5.5.会话层会话层 6. 6.表示层表示层 7. 7.应用层应用层数据数据3.3.网络层网络层数据数据传输层报头+数据网络层报头网络层报头+传输层报头+数据数据链路层报头 传输层传输层 数据链路层数据链路层 物理层物理层 网络层网络层 表示层表示层应用层应用层会话层会话层源端口、目的端口源IP、目的IP、协议号源MAC、目的MAC、帧类型二进制流“0、1”传输层报头协议数据单元协议数据单元（PDU）数据段Segment数据包Packet数据帧Frame比特 Bit设备设备A设备设备B7654321L7数据

5、L7数据H6L6数据H5L5数据H4L4数据H3L3数据H2010101000011110000101010T27654321L7数据L7数据H6L6数据H5L5数据H4L4数据H3L3数据H2010101000011110000101010T2传输媒体数据数据网络层报头网络层报头 + + 传输层报头传输层报头 + + 数据数据数据链路层报头数据链路层报头传输层报头传输层报头+ + 数据数据网络层报头网络层报头数据数据传输层报头传输层报头01011101010010000100101110101001000010传输层传输层 数据链路层数据链路层物理层物理层 网络层网络层 表示层表示层应用层应

6、用层会话层会话层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层 Internet Internet层层网络接口层网络接口层应用层表示层会话层传输层网络层数据链路层物理层IPICMPIGMPRARPARPUDPTCP各种应用程序层各种应用程序层SMTPFTPDNSSNMPNFSTFTP由底层网络定义的协议由底层网络定义的协议Ethernet,Token-Ring,FDDI,X.25,Wirless,ATMHTTP FTP DNSHTTP FTP DNS应用层应用层端口端口80 21 53 6980 21 53 69TFTP主机

7、主机 B B主机主机 A A102823源端口目的端口应用协议应用协议传输层协议传输层协议端口号端口号FTPTCP20、21TelnetTCP23HTTPTCP80DNSTCP、UDP53SMTPTCP25源端口号源端口号 (16(16比特比特) )目的端口号目的端口号(16(16比特比特) )顺序号顺序号(32(32比特比特) )应答号应答号 (32(32比特比特) )窗口大小窗口大小 (16(16比特比特) )校验和校验和 (16(16比特比特) )其它其它TCPTCP控制信息（如控制信息（如SYN,ACKSYN,ACK等）等）数据数据2020客户端客户端A服务器服务器B发送 SYN1(s

8、eq#=100)1接收SYN发送SYN1, ACK1 (seq#=300 ack#=101)2建立连接，ACK1(ack#=301)3接收SYN,ACK源端口号源端口号(16(16比特比特) )目的端口号目的端口号 (16(16比特比特) )其它其它UDPUDP控制信息控制信息数据数据校验和校验和 (16(16比特比特) )8 8字节字节Bit 0Bit 31版本版本(4)(4)目的目的IPIP地址地址 (32)(32)选项选项(0 or 32 if any)(0 or 32 if any)数据数据头长度头长度 (4)(4)TOS (8)TOS (8)总长度总长度 (16)(16)标识标识 (

9、16)(16)标志标志(3)(3)段偏移段偏移 (13)(13)TTL (8)TTL (8)协议协议 (8)(8)校验和校验和 (16)(16)源源IPIP地址地址 (32)(32)20-60Bytes20-65536Bytes0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击攻击工具体系化攻击工具体系化 DMZ E-Mail File Tra

10、nsfer HTTP企业网络企业网络外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织现有网络安全防御体制IDS/IPSIDS/IPS68%68%杀毒软件杀毒软件99%99%防火墙防火墙98%98%ACLACL71%71%防火墙包过滤防病毒入侵检测 探测与扫描（探测与扫描（X-scan，Fluxy，Super-scan） 拨号式扫描（拨号式扫描（ADSL，Modem） 嗅探攻击（嗅探攻击（Sniffer） 网络操纵攻击网络操纵攻击 应用程序操纵攻击应用程序操纵攻击缓冲区溢出缓冲区溢出 MAC欺骗欺骗 IP欺骗欺骗 TCP/UDP欺骗欺骗 身份欺骗身份欺骗 设备欺骗设备欺骗 S

11、murf（IP欺骗欺骗+ICMP回复）回复） TCP SYN Flood（IP欺骗欺骗+破坏破坏TCP三次握手协议）三次握手协议） Ping of Death（发送大于（发送大于65536字节字节ICMP数据包）数据包） WinNuke（带外传输攻击，攻击目标端口，且将带外传输攻击，攻击目标端口，且将URG位设为位设为1） Land.c（伪造多个相同（伪造多个相同IP、TCP端口的端口的TCP SYN） L2重定向重定向 IP重定向重定向 Man In The Middle（中间人攻击）（中间人攻击） 病毒、蠕虫、特洛伊木马病毒、蠕虫、特洛伊木马 信息在未授权的情况下被无权获得或查看的人所获取

12、信息在未授权的情况下被无权获得或查看的人所获取 信息被改动或删除信息被改动或删除 主机或网络设备收到攻击后，无可用资源提供正常的服务或降低主机或网络设备收到攻击后，无可用资源提供正常的服务或降低服务质量服务质量 用户权限在未授权的情况下增大用户权限在未授权的情况下增大 静态的检查静态的检查L3/L4信息信息 跟踪会话连接的状态跟踪会话连接的状态 将真实地址进行隐藏将真实地址进行隐藏 在在L7进行访问控制进行访问控制 终结所有到代理服务器的连接，并终结所有到代理服务器的连接，并代替客户端重新初始化连接代替客户端重新初始化连接 URL过滤和过滤和Web流量中的恶意代码流量中的恶意代码 邮件地址过滤和邮件内容中的恶意邮件地址过滤和邮件内容中的恶意代码代码 定义正常行为，记录异常行为定义正常行为，记录异常行为 难于定义正常的行为难于定义正常的行为 预先建立攻击特征（签名），根据预先建立